Check Pointin tutkijat havaitsivat, että Dridexiä on päivitetty ja levitetty useiden roskapostikampanjoiden kautta kohdennettujen lunnasohjelmien toimittamiseksi, mikä on lisännyt pitkään käytössä olleesta troijalaisesta aiheutuvaa riskiä

Viimeisimmän maaliskuun 2020 globaalin uhkaindeksimme mukaan tunnettu pankkipalveluja uhkaava troijalainen Dridex, joka ilmestyi ensimmäisen kerran vuonna 2011, on päässyt ensimmäistä kertaa kymmenen haittaohjelman kärkikymmenikön listalle kolmanneksi yleisimpänä haittaohjelmana maaliskuussa. Dridex on päivitetty, ja sitä käytetään nyt hyökkäysten alkuvaiheessa kohdennettujen lunnasohjelmien, kuten BitPaymerin ja DoppelPaymerin, lataamiseen.

Dridexin käytön jyrkkään lisääntymiseen vaikuttivat useat roskapostikampanjat, jotka sisälsivät haitallisen Excel-tiedoston, joka lataa Dridex-haittaohjelman uhrin tietokoneelle. Dridex-haittaohjelmien yleistyminen korostaa sitä, miten nopeasti verkkorikolliset muuttavat hyökkäystensä teemoja yrittäessään maksimoida tartuntamäärät.

Dridex on kehittynyt pankki-haittaohjelmakanta, joka kohdistuu Windows-alustaan ja toimittaa roskapostikampanjoita tartuttaakseen tietokoneita ja varastaa pankkitunnuksia ja muita henkilökohtaisia tietoja helpottaakseen vilpillistä rahansiirtoa. Haittaohjelmaa on järjestelmällisesti päivitetty ja kehitetty viime vuosikymmenen aikana. XMRig on edelleen ensimmäisellä sijalla parhaiden haittaohjelmaperheiden indeksissä, sillä se vaikuttaa 5 %:iin organisaatioista maailmanlaajuisesti, ja sen jälkeen tulevat Jsecoin ja Dridex, jotka vaikuttavat 4 %:iin ja 3 %:iin organisaatioista maailmanlaajuisesti.

Dridex voi olla hyvin tuottoisaa rikollisille sen kehittyneisyyden vuoksi, ja sitä käytetään nyt lunnasohjelmien latausohjelmana, mikä tekee siitä entistäkin vaarallisemman kuin aiemmat muunnokset. Yksityishenkilöiden on oltava varovaisia liitetiedostoja sisältävien sähköpostiviestien suhteen, vaikka ne näyttäisivät olevan peräisin luotettavasta lähteestä – varsinkin kun kotityö on lisääntynyt räjähdysmäisesti viime viikkoina. Organisaatioiden on koulutettava työntekijöitään siitä, miten tunnistaa haitallista roskapostia, ja otettava käyttöön turvatoimia, jotka auttavat suojaamaan tiimejä ja verkkoja tällaisilta uhkilta.

Maaliskuun raportissa varoitetaan myös siitä, että ”MVPower DVR Remote Code Execution” oli edelleen yleisin haavoittuvuus, jota käytettiin hyväksi 30 prosentissa organisaatioita maailmanlaajuisesti, ja seuraavaksi yleisin haavoittuvuus, jota käytettiin hyväksi, oli ”PHP PHP PHP php-cgi Query String Parameter Code Execution”, jota käytettiin hyväksi 29 prosentissa organisaatioita maailmanlaajuisesti, ja seuraavaksi yleisin alttius, jota käytettiin hyväksi, oli ”OpenSSL TLL DTLS SYDTHYVIT-tietojen paljastuminen”, joka vaikutti 27 prosenttiin organisaatioiden toiminnasta.

Top-haittaohjelmaperheet

*Nuolet viittaavat sijoituksen muutokseen edelliseen kuukauteen verrattuna.

Tässä kuussa XMRig on edelleen ensimmäisellä sijalla, sillä se vaikuttaa 5 %:iin organisaatioista maailmanlaajuisesti, ja sen jälkeen tulevat Jsecoin, joka vaikuttaa 4 %:iin, ja Dridex, joka vaikuttaa 3 %:iin organisaatioista maailmanlaajuisesti.

  1. ↔ XMRig – XMRig on avoimen lähdekoodin CPU-louhintaohjelmisto, jota käytetään Monero-kryptovaluutan louhintaprosessiin, ja se nähtiin ensimmäisen kerran luonnossa toukokuussa 2017.
  1. Jsecoin – Jsecoin on verkkopohjainen kryptominer, joka on suunniteltu suorittamaan Moneron kryptovaluutan online-louhintaa käyttäjän vieraillessa tietyllä verkkosivustolla. Istutettu JavaScript käyttää suuren osan loppukäyttäjän laskentaresursseista kolikoiden louhimiseen, mikä vaikuttaa järjestelmän suorituskykyyn.
  1. Dridex – Dridex on pankkitroijalainen, joka kohdistuu Windows-alustaan ja jota levitetään roskapostikampanjoilla ja exploit-paketeilla, jotka tukeutuvat WebInject-ohjelmiin, joilla siepataan ja ohjataan pankkitunnukset hyökkääjän hallitsemaan palvelimeen. Dridex ottaa yhteyttä etäpalvelimeen, lähettää tietoja tartunnan saaneesta järjestelmästä ja voi myös ladata ja suorittaa lisämoduuleja etähallintaa varten.
  2. ↔ Trickbot – Trickbot on hallitseva pankkitroijalainen, jota päivitetään jatkuvasti uusilla ominaisuuksilla, ominaisuuksilla ja jakeluvektoreilla. Tämän ansiosta Trickbot on joustava ja muokattavissa oleva haittaohjelma, jota voidaan levittää osana monikäyttöisiä kampanjoita.
  3. ↓ Emotet – Emotet on edistynyt, itse leviävä ja modulaarinen troijalainen. Emotetia käytettiin aikoinaan pankkitroijalaisena, ja viime aikoina sitä on käytetty muiden haittaohjelmien tai haittakampanjoiden levittäjänä. Se käyttää useita menetelmiä pysyvyyden ylläpitämiseksi ja kiertotekniikoita havaitsemisen välttämiseksi. Lisäksi sitä voidaan levittää haittaohjelmia sisältävien phishing-roskapostiviestien kautta.
  4. ↔ Agent Tesla – Agent Tesla on kehittynyt RAT, joka toimii keyloggerina ja salasanojen varastajana. Agent Tesla pystyy tarkkailemaan ja keräämään uhrin näppäimistösyöttöä, järjestelmän leikepöytää, ottamaan kuvakaappauksia ja poistamaan
    tunnuksia useista uhrin koneelle asennetuista ohjelmistoista (kuten Google Chrome, Mozilla Firefox ja Microsoft Outlook -sähköpostiohjelma).
  5. Formbook – Formbook on Info Stealer, joka kerää tunnistetietoja erilaisista verkkoselaimista, kerää kuvakaappauksia, tarkkailee ja kirjaa näppäinpainalluksia sekä voi ladata ja suorittaa tiedostoja C&C-käskyjensä mukaisesti.
  6. ↓ Lokibot – Lokibot on Info Stealer, jota levitetään pääasiassa phishing-sähköposteilla ja jota käytetään varastamaan erilaisia tietoja, kuten sähköpostitunnuksia sekä salasanoja CryptoCoin-lompakoihin ja FTP-palvelimiin.
  7. ↓ Ramnit – Ramnit on pankkitroijalainen, joka varastaa pankkitunnuksia, FTP-salasanoja, istunnon evästeitä ja henkilökohtaisia tietoja.
  8. RigEK- RigEK toimittaa hyväksikäyttökohteita Flashiin, Javaan, Silverlightiin ja Internet Exploreriin. Tartuntaketju alkaa uudelleenohjauksella laskeutumissivulle, joka sisältää JavaScriptin, joka tarkistaa haavoittuvien lisäosien olemassaolon ja toimittaa hyväksikäytön.

Top hyödynnettyjä haavoittuvuuksia

Tässä kuussa ”MVPower DVR Remote Code Execution” on edelleen yleisin hyödynnetty haavoittuvuus, jolla on vaikutusta 30 %:iin organisaatioista maailmanlaajuisesti, ja sen jälkeen tulee ”PHP php-cgi Query String Parameter Code Execution”, jolla on 29 %:n vaikutus maailmanlaajuisesti. Kolmannella sijalla on ”OpenSSL TLS DTLS Heartbeat Information Disclosure”, joka vaikuttaa 27 %:iin organisaatioista maailmanlaajuisesti.

  1. ↔ MVPower DVR Remote Code Execution – Etäkoodin suorittamisen haavoittuvuus, joka esiintyy MVPower DVR -laitteissa. Etähyökkääjä voi käyttää tätä heikkoutta hyväkseen ja suorittaa mielivaltaista koodia kyseisessä reitittimessä muokatun pyynnön kautta.
  2. PHP php-cgi Query String Parameter Code Execution – Etäkoodin suoritushaavoittuvuus, joka on raportoitu PHP:ssä. Haavoittuvuus johtuu PHP:n virheellisestä kyselymerkkijonojen jäsentämisestä ja suodattamisesta. Etähyökkääjä voi hyödyntää tätä ongelmaa lähettämällä muokattuja HTTP-pyyntöjä. Onnistuneen hyväksikäytön avulla hyökkääjä voi suorittaa kohteessa mielivaltaista koodia.
  3. ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – OpenSSL:ssä esiintyvä haavoittuvuus tietojen paljastumiseen. Haavoittuvuus johtuu virheestä TLS/DTLS heartbeat-pakettien käsittelyssä. Hyökkääjä voi käyttää tätä haavoittuvuutta hyväkseen ja paljastaa yhdistetyn asiakkaan tai palvelimen muistin sisällön.
  4. Web Server Exposed Git Repository Information Disclosure – Git Repository -palvelimessa on raportoitu tietojen paljastumisen haavoittuvuus. Tämän haavoittuvuuden onnistunut hyväksikäyttö voi mahdollistaa tilitietojen tahattoman paljastamisen.
  5. ↓ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Dasan GPON -reitittimissä on todennuksen ohitushaavoittuvuus. Tämän haavoittuvuuden onnistunut hyödyntäminen antaisi etähyökkääjille mahdollisuuden saada arkaluonteisia tietoja ja päästä luvattomasti asianomaiseen järjestelmään.
  6. Huawei HG532 -reitittimen etäkoodin suoritus – Huawei HG532 -reitittimissä on etäkoodin suoritushaavoittuvuus. Etähyökkääjä voi käyttää tätä heikkoutta hyväkseen suorittaakseen mielivaltaista koodia kyseisessä reitittimessä muokatun pyynnön kautta.
  7. D-Link DSL-2750B Remote Command Execution – WordPress portable-phpMyAdmin Pluginissa on todennuksen ohitushaavoittuvuus. Tämän haavoittuvuuden onnistunut hyväksikäyttö mahdollistaisi etähyökkääjille arkaluontoisten tietojen hankkimisen ja luvattoman pääsyn asianomaiseen järjestelmään.
  8. ↓PHP DIESCAN tietojen paljastuminen – Tietojen paljastumisen haavoittuvuus, josta on raportoitu PHP-sivuilla. Onnistunut hyväksikäyttö voi johtaa arkaluontoisten tietojen paljastumiseen palvelimelta.
  9. ↓SQL Injection (useita tekniikoita) – SQL-kyselyn injektion lisääminen syötteeseen asiakkaalta sovellukselle, samalla kun hyödynnetään sovelluksen ohjelmiston tietoturva-aukkoa.
  10. OpenSSL Padding Oracle Information Disclosure – OpenSSL:n AES-NI-toteutuksessa on haavoittuvuus tietojen paljastumiseen. Haavoittuvuus johtuu muistin allokointivirheestä tietyn padding-tarkastuksen aikana. Etähyökkääjä voi käyttää tätä haavoittuvuutta hyväkseen saadakseen arkaluonteisia selvätekstitietoja padding-oracle-hyökkäyksen avulla AES CBC -istuntoa vastaan.

Top-haittaohjelmaperheet – Mobiili

Tässä kuussa xHelper säilytti 1. sijan yleisimmissä mobiili-haittaohjelmissa, jonka jälkeen tulevat AndroidBauts ja Lotoor.

  1. xHelper – Maaliskuusta 2019 lähtien luonnossa nähty haittaohjelma, jota käytetään muiden haittaohjelmien lataamiseen ja mainosten näyttämiseen. Sovellus voi piilottaa itsensä käyttäjältä ja asentaa itsensä uudelleen, jos se poistetaan.
  2. AndroidBauts – Android-käyttäjille suunnattu mainosohjelma, joka vie IMEI-, IMSI-, GPS-sijainti- ja muita laitetietoja ja mahdollistaa kolmannen osapuolen sovellusten ja pikakuvakkeiden asentamisen mobiililaitteisiin.
    1. Lotoor – Hakkerointityökalu, joka hyödyntää Android-käyttöjärjestelmien haavoittuvuuksia saadakseen pääkäyttäjäoikeudet vaarantuneisiin mobiililaitteisiin.

Articles

Vastaa

Sähköpostiosoitettasi ei julkaista.